Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 27: | Zeile 27: | ||
===Sicherheit=== | ===Sicherheit=== | ||
Unter Sicherheit kann der Schutz vor ARP-Poisoning-Angriffen (ARP Spoofing) auf den Eingangsnetzen aktiviert werden. | Unter dem Punkt Sicherheit kann der Schutz vor ARP-Poisoning-Angriffen (ARP Spoofing) auf den Eingangsnetzen aktiviert werden. | ||
Durch ARP Spoofing ist es möglich Daten umzuleiten, um diese abzuhören und/oder zu manipulieren. | Durch ARP Spoofing ist es möglich Daten umzuleiten, um diese abzuhören und/oder zu manipulieren. | ||
Standardmäßig ist diese Funktion deaktiviert. | Standardmäßig ist diese Funktion deaktiviert. | ||
===Art des Eingangsnetzes=== | ===Art des Eingangsnetzes=== | ||
Zeile 36: | Zeile 36: | ||
Der NAC wertet den Datenfluss der Endgeräte aus, um zu erkennen ob diese bereits Authentifiziert sind oder diese sich noch am NAC am Captive Portal authentifizieren müssen. | Der NAC wertet den Datenfluss der Endgeräte aus, um zu erkennen ob diese bereits Authentifiziert sind oder diese sich noch am NAC am Captive Portal authentifizieren müssen. | ||
Grundsätzlich wird unter drei Betriebsmodi für die Erkennung unterschieden: | Grundsätzlich wird unter drei Betriebsmodi für die Erkennung unterschieden: | ||
: Geswitchtes Netzwerk | :*Geswitchtes Netzwerk | ||
: Geroutetes Netzwerk | :*Geroutetes Netzwerk | ||
: Geswitchtes und geroutetes Netzwerk | :*Geswitchtes und geroutetes Netzwerk | ||
;Geswitchtes Netzwerk | ;Geswitchtes Netzwerk | ||
Zeile 44: | Zeile 44: | ||
Im Geswitchtes Netzwerk kommunizieren die Clients auf Layer 2 Ebene. Die Daten werden nicht geroutet sondern mithilfe von ARP direkt zwischen den Kommunikations Partnern ausgetauscht. | Im Geswitchtes Netzwerk kommunizieren die Clients auf Layer 2 Ebene. Die Daten werden nicht geroutet sondern mithilfe von ARP direkt zwischen den Kommunikations Partnern ausgetauscht. | ||
Der NAC wertet ausschließlich | :*Der NAC wertet ausschließlich die MAC Adressen aus. | ||
In diesem Modi ist der NAC am schnellsten. | :*In diesem Modi ist der NAC am schnellsten. | ||
; Geroutetes Netzwerk | ; Geroutetes Netzwerk | ||
Im gerouteten Netzwerk werden die Daten über Layer 3 ausgetauscht. Datenpakete müssen gegebenenfalls geroutet werden um die gegenstelle zu erreichen. | Im gerouteten Netzwerk werden die Daten über Layer 3 ausgetauscht. Datenpakete müssen gegebenenfalls geroutet werden um die gegenstelle zu erreichen. | ||
Der NAC wertet | :*Der NAC wertet nur die IP - Adressen aus. | ||
;Geswitchtes und geroutetes Netzwerk | ;Geswitchtes und geroutetes Netzwerk | ||
Zeile 56: | Zeile 56: | ||
Der dritte und letzte Modi ist ein Mischbetrieb aus den beiden anderen Modi. | Der dritte und letzte Modi ist ein Mischbetrieb aus den beiden anderen Modi. | ||
Der NAC wertet sowohl MAC- als auch IP Adresse aus. | :*Der NAC wertet sowohl MAC- als auch IP Adresse aus. | ||
===Schnittstellenkonfiguration und Übersicht=== | ===Schnittstellenkonfiguration und Übersicht=== | ||
;Schnittstellenkonfiguration | ;Schnittstellenkonfiguration | ||
In der Schnittstellenkonfiguration können die MTU Einstellungen der Ein- und Ausgangs Interface geändert werde | In der Schnittstellenkonfiguration können die MTU Einstellungen der Ein- und Ausgangs Interface geändert werde. Die Autonegotiation kann hier ebenfalls aktiviert oder deaktiviert werden, um die Schnittstellengeschwindigkeit manuell anzugeben. | ||
;Schnittstellenübersicht | ;Schnittstellenübersicht | ||
In der Schnittstellenübersicht werden alle Netzwerkinterface mit Ihren Informationen angezeigt. | In der Schnittstellenübersicht werden alle Netzwerkinterface mit Ihren Informationen angezeigt. | ||
Zu Beachten ist hier, dass der NAC die Interface bündelt (Link Aggregation) | Zu Beachten ist hier, dass der NAC die Interface bündelt (Link Aggregation). | ||
Hier lässt sich ebenfalls erkennen welche Physikalischen Schnittstellen zum Ein- oder Ausgangsnetz gehören. |
Aktuelle Version vom 30. Dezember 2015, 15:49 Uhr
In der Controller Grundkonfiguration werden Globale Einstellungen für den NAC Konfiguriert. Unter anderem kann hier der Name des Gerätes und die Betriebsmodi (Art des Eingangsnetztes) geändert werden.
Die Controller Grundkonfiguration ist unter Konfiguration => Netzwerk => Controller zu finden
Controller und Domainname
Der NAC unterscheidet zwischen Eingangs- und Ausgangsnetzen. Sowohl auf dem Ein- als auch Ausgangsnetz benötigt das System einen Namen und eine Domain. Sollten diese Felder leer sein (NAC zieht DHCP, der DHCP Server übergibt aber keine Domain) kommt es zu fehlerhaftem Verhalten.
- Ausgangsnetz
Der Name und die Domain auf dem Ausgangsnetz sind frei definierbar. Die einzige Bedingung ist dass es sich um einen FQDN handeln muss.
- Eingangsnetz
Auf dem Eingangsnetz liegen die Captive Portale. Damit es zu keiner Zertifikatswarnung an den Clients kommt, besitzt der NAC ein öffentliches x509 Zertifikat. Dieses Zertifikat ist an den Namen "controller.access.network" geknüpft. Wird der Name auf dem Eingangsnetz verändert, wird das Zertifikat ungültig und Sie müssen ein neues öffentliches Zertifikat importieren.
Achtung: Es wird empfohlen den Namen auf dem Eingangsnetz nicht anzupassen. |
Sicherheit
Unter dem Punkt Sicherheit kann der Schutz vor ARP-Poisoning-Angriffen (ARP Spoofing) auf den Eingangsnetzen aktiviert werden. Durch ARP Spoofing ist es möglich Daten umzuleiten, um diese abzuhören und/oder zu manipulieren.
Standardmäßig ist diese Funktion deaktiviert.
Art des Eingangsnetzes
Der NAC wertet den Datenfluss der Endgeräte aus, um zu erkennen ob diese bereits Authentifiziert sind oder diese sich noch am NAC am Captive Portal authentifizieren müssen. Grundsätzlich wird unter drei Betriebsmodi für die Erkennung unterschieden:
- Geswitchtes Netzwerk
- Geroutetes Netzwerk
- Geswitchtes und geroutetes Netzwerk
- Geswitchtes Netzwerk
Im Geswitchtes Netzwerk kommunizieren die Clients auf Layer 2 Ebene. Die Daten werden nicht geroutet sondern mithilfe von ARP direkt zwischen den Kommunikations Partnern ausgetauscht.
- Der NAC wertet ausschließlich die MAC Adressen aus.
- In diesem Modi ist der NAC am schnellsten.
- Geroutetes Netzwerk
Im gerouteten Netzwerk werden die Daten über Layer 3 ausgetauscht. Datenpakete müssen gegebenenfalls geroutet werden um die gegenstelle zu erreichen.
- Der NAC wertet nur die IP - Adressen aus.
- Geswitchtes und geroutetes Netzwerk
Der dritte und letzte Modi ist ein Mischbetrieb aus den beiden anderen Modi.
- Der NAC wertet sowohl MAC- als auch IP Adresse aus.
Schnittstellenkonfiguration und Übersicht
- Schnittstellenkonfiguration
In der Schnittstellenkonfiguration können die MTU Einstellungen der Ein- und Ausgangs Interface geändert werde. Die Autonegotiation kann hier ebenfalls aktiviert oder deaktiviert werden, um die Schnittstellengeschwindigkeit manuell anzugeben.
- Schnittstellenübersicht
In der Schnittstellenübersicht werden alle Netzwerkinterface mit Ihren Informationen angezeigt. Zu Beachten ist hier, dass der NAC die Interface bündelt (Link Aggregation). Hier lässt sich ebenfalls erkennen welche Physikalischen Schnittstellen zum Ein- oder Ausgangsnetz gehören.